クラウド型だから場所・デバイスを問わず安全に利用できる
ゲートウェイセキュリティー

お役立ち情報

2019年09月06日

ゲートウェイセキュリティー

Office 365 などのクラウドアプリケーションの利用拡大を背景に、インターネットと社内ネットワークの出入り口となるゲートウェイセキュリティーが大きく変化しています。オンプレミスで構築・運用してきた従来のゲートウェイセキュリティーでは、急増するトラフィックに対応できず、遅延が発生するなど業務のボトルネックになり始めています。こうした課題を解消するのがクラウド型ゲートウェイセキュリティー「Zscaler（ゼットスケーラー）」です。クラウド型認証基盤やCASBなどのソリューションと組み合わせることで、よりセキュアで便利なクラウドアプリケーションの利用を実現します。

トラフィック量の増加による負荷を低減できる

Office 365 やBoxなどのクラウドアプリケーションの利用に伴い、これまでのゲートウェイセキュリティーのトラフィック量が増加し、過負荷や遅延が課題になっています。また、既存のセキュリティーインフラを拡張・リプレースする場合、機器の調達・導入などに時間がかかってしまいます。さらに新たなクラウドアプリケーションの利用でトラフィックが増加することも見込まれ、適切にサイジングするのは困難です。

このような課題の解決に期待されているのが、クラウド型ゲートウェイセキュリティーです。例えば、世界5000社以上で利用されているクラウド型ゲートウェイセキュリティーのZscalerは、社内外のアクセスを中継し、安全・簡単にインターネットとイントラネットを利用できる2種類のサービスを提供しているのが特徴です。

その1つ、Zscaler Internet Access（ZIA）は、インターネットアクセス時のゲートウェイセキュリティー機能をクラウドで提供するサービスです。インターネットに接続できる環境であれば、どこからでも、どんなデバイスでもプロキシーやURLフィルター、マルウエア対策などといったセキュリティー機能を適用。従来のように本社やデータセンターなどに設置されたゲートウェイに接続することなく、支社・営業拠点、社外のモバイル環境から安心してクラウドアプリケーションを利用できます。

「クラウド型であれば、機器の調達が不要ですぐに利用できます。トラフィックの増加に対してサービス側で対応するため、あらかじめサイジングする必要もバージョンアップの必要もありません」とユニアデックス・ソリューションマネージャーの岩竹智之はZIAの利点を話します。

Zscalerはユーザーが国内、海外のどこでも同じポリシーを適用できます。例えばグローバルな事業展開を進める企業では、現地法人がダイレクトにクラウドサービスを導入しているでしょう。その際、本社では現地法人がどのようなクラウドアプリケーションを利用しているのか管理できず、セキュリティーガバナンスの面でリスクを抱えてしまいます。

こうした課題に対し、Zscalerは国内と同じポリシーを海外の拠点、ユーザーにも適用。「世界中に150カ所以上のアクセスポイントがあり、どこからでもZscalerを介してポリシーに応じたクラウドアプリケーションの利用と制御が可能です」と同チーフスペシャリストの越渡俊幸はZscalerの特徴を説明します。

社内アプリケーションへも安全にアクセス

Zscalerのもう1つのサービスがZscaler Private Access（ZPA）です。従来、社外で利用するモバイル端末や協力会社といったエンドポイントで、社内のイントラネットに接続する場合、VPN（Virtual Private Network）を利用するのが一般的でした。しかしZPAはSSL通信を利用して、簡単な操作で社内アプリケーションに安全に接続できる通信環境を提供します。

ZPAはポリシー制御やユーザーごとのアクセス制御を行うZ-Cloud、端末用ソフトウエアのZ-App、社内のアプリケーションサーバーに接続するZ-Connectorで構成。Z-ConnectorはZ-Cloudに対してHTTPSのアウトバウンド通信のみで接続し、イントラネット側にIPアドレスを公開する必要がありません。このため「外部から公開IPアドレスを狙った攻撃を受けるリスクを回避できるのです」（岩竹）。

また一般的なVPNと異なり、Zscalerはユーザーの属性やポリシーに応じてインターネット（ZIA）とイントラネット（ZPA）の同時利用が可能です。例えば、社外のモバイル端末からZIAでOffice 365 を利用しながら、ZAPで社内イントラネットのアプリケーションサーバーに置かれた勤怠管理システムにアクセスするといった使い方が可能です。「ユーザーは意識することなく、インターネットとイントラネットのアプリケーションを使い分けられます」（越渡）。

【2種類のサービスを提供するZscaler】

ゼロトラストに基づいたSDPとして注目

Zscalerはクラウド型ゲートウェイに求められる多彩なセキュリティー機能と高速処理を備えています。近年、インターネット接続時に利用されるSSL暗号通信のHTTPSを悪用し、SSLにマルウエアを侵入させるといったサイバー攻撃も増えています。こうした攻撃に対し、ZscalerはリアルタイムでSSLの復号化と再暗号化を行う独自のSSLスキャニング技術を搭載。マルウエアの有無を確認でき、HTTPSを悪用した攻撃を防御できます。

また、パケットインメモリー方式による高速スキャンを実施。従来のゲートウェイの場合、マルウエア対策、URLフィルタリング、サンドボックス、情報漏えい対策といった多段のスキャンが必要なため、過負荷やスキャニングのプロセスが遅延の原因にもなっていました。Zscalerはパケットをメモリーに取り込んで一括処理するため高速なスキャニングにより、遅延を大幅に抑制します。

さらに、岩竹は「きめ細かなアクセス制御やポリシー制御が可能なZscalerは、ゼロトラストの概念に基づいたSDP（Software Defined Perimeter）として注目されています」と話します。ゼロトラストは社内のIT環境は安全ではない（信頼できない）という前提で対策を考えるもの。その対策として、境界ですべてのトラフィックを検査したり、ユーザーのアクセス制御などを行ったりするのがSDPです。Zscalerはポリシーに合致した端末のみインターネット、イントラネットのアプリケーションへのアクセスを許可するなど、SDPとして機能します。

IDaaSやCASBと連携すればよりセキュアな環境に

Zscalerはクラウド型認証基盤サービス（IDaaS）の「Okta」や、クラウドの可視化やユーザーの振る舞いを制御するCASB（Cloud Access Security Broker）の「McAfee MVISION Cloud」などと組み合わせることで、よりセキュアな環境の実現が可能です。

例えばOktaとZscalerを連携することにより、社外のモバイル端末のユーザーに対して生体認証などの多要素認証を組み合わせ、より強固な本人認証が行えます。さらに、クラウドサービス側にパスワードを持たないSAMLなどの認証基盤としてOktaは機能し、Zscalerと連携して複数のクラウドサービスのシングルサインオン（SSO）環境を実現します。また、McAfee MVISION Cloudは、クラウドサービスのセキュリティーリスクなどをデータベース化。Zscalerが取得するログ情報をMVISION Cloudで分析し、リスクの高いサービス情報をZscalerにフィードバックすることで、クラウドサービスへのアクセス要求を拒否するといった連携が可能です。

こうしたOktaやMcAfee MVISION Cloudなどのサービスとの連携には、APIの実装や事前の検証が欠かせません。「クラウドサービスの利点は、さまざまなサービスを組み合わせて利用することで大きな効果を発揮できることです。お客さまの課題やニーズをヒアリングしながら、Zscalerを中心にIDaaSやCASBを連携するためのAPIの開発・実装や事前検証を行い、最適なセキュリティープラットフォームづくりを進めています」と越渡は話します。